漏洞概述 漏洞名称: CVE-2025-55645 - Heap Buffer Overflow in GPAC MP4Box PSSH Copy 漏洞类型: 堆缓冲区溢出 描述: 处理包含畸形PSSH数据的MP4文件时, 函数可能导致堆缓冲区溢出,引发崩溃或潜在内存泄露/损坏。 影响范围 受影响组件: 受影响函数: 受影响产品: MP4Box (GPAC多媒体开源项目) 受影响版本: MP4Box 2.4及更早版本 攻击条件: 攻击者提供包含畸形PSSH/CENC元数据的MP4文件,用户手动处理或自动化媒体工作流调用MP4Box时触发。 影响: 主要影响为拒绝服务(进程终止),可能伴随信息泄露或任意代码执行。 修复方案 修复状态: 已在GPAC commit 中修复。 建议: 用户应更新到包含此commit或之后的GPAC构建版本。受影响代码应验证PSSH载荷大小和目标缓冲区容量后再复制PSSH数据。 POC代码 参考链接 Issue: GitHub Issue #3236 PoC: GitHub PoC Fix: GitHub Commit 贡献者 @sigdevel (Alexander A. Shvedov)